Oficjalna strona urzędu rozsiewa znany ransomware
Niebezpieczne jest nie tylko klikanie podejrzanych linków w emailach. Zagrożenie może pojawić się także na znanej i zaufanej stronie, również rządowej. W jaki sposób odwiedzających infekowała oficjalna strona urzędu?
Przestarzałe platformy na celowniku
Niebezpieczną sytuację na oficjalnej stronie Urzędu Rejestracji Produktów Leczniczych już 17 lutego wskazał czytelnik portalu Zaufanatrzeciastrona. Choć wydawało się, że zagrożenie jest wyłącznie tymczasowe, w istocie okazało się po prostu wybiórcze. Zamiast prób infekowania każdego komputera wybierało wyłącznie te posługujące się najstarszym oprogramowaniem.
Kiedy więc po trzech dniach strona wciąż stanowiła zagrożenie, redaktorzy przyjrzeli się mechanizmowi jego działania i podzielili się spostrzeżeniami. Ujawniony przez nich złośliwy kod jako cel okazał się obierać komputery posługujące się Internet Explorerem 8, 9 i 10, na które pobierał znany i niebezpieczny ransomware Cerber bądź niezidentyfikowany plik DLL.
Zawiniło oprogramowanie
Wybór akurat przestarzałej przeglądarki Microsoftu nie był przypadkowy – nie blokuje ona domyślnie animacji, której jako furtki użył niebezpieczny skrypt. Kierował on ofiarę na kolejną podstronę w obrębie tego samego serwera, a tam do pliku JavaScrip ze złośliwym oprogramowaniem.
Najbardziej prawdopodobną przyczyną infekcji wydaje się wiekowy już system zarządzania treścią – Drupal w wersji 7.41 z października 2015 roku. Jego rozliczne podatności na podobne infekcje były już wielokrotnie opisywane przez portale branżowe.
Informację o zagrożeniu przesłano do Urzędu Rejestracji Produktów Leczniczych już 20 lutego ok. 14:00. Po upływie niespełna doby strona wciąż działała, a do sprawy odniósł się rzecznik urzędu, informując o braku potwierdzonych informacji o infekcji, a także fakcie wykonywania pod tym kątem audytu. Ok. godziny 16:00 strona wciąż funkcjonowała bez zmian.
Mało optymistyczne wnioski
Witryna urpl.gov.pl przestała działać dopiero dzisiaj, co zapewne jest „zasługą” wspomnianego audytu. Czas reakcji rzędu 36 godzin jest naprawdę fatalnym wynikiem, a skalę szkód dopiero poznamy. Największych należy się spodziewać wśród komputerów państwowego sektora medycznego, gdzie Windows XP i Internet Explorer są regularnie użytkowane.
Po raz kolejny potwierdza się reguła, że przed zagrożeniami najskuteczniej obroni się świadomy użytkownik. Posługujący się aktualnym systemem operacyjnym, przeglądarką i oprogramowaniem antywirusowym. Inaczej wygląda to w przypadku wiekowego sprzętu służbowego w przychodni czy aptece – nie bez powodu będzie on więc celem kolejnych ataków.